장면이 바뀌는 건 한순간이다. 누군가가 “이 작업 좀 알아서 처리해줘”라고 말했을 뿐인데, 에이전트는 권한을 받아 도구를 호출하고, 결제를 시도하고, 시스템 설정까지 건드릴 수 있다. 그 순간부터 생산성 도구와 내부자 위협의 경계가 흐려진다. ZDNET는 생성형 AI가 챗봇을 넘어 자율 실행 주체로 이동하면서, “에이전트가 다른 에이전트를 띄우고(spawn), 돈을 쓰고, 시스템을 바꿀 수 있을 때” 그 경계가 사라진다고 요약한다.

예: 한 팀이 “업무 자동화”를 위해 에이전트를 붙인다. 에이전트는 일정 작업을 처리하려고 다른 에이전트를 만들어 맡긴다. 누군가가 남긴 문장 하나가 도구 호출 흐름에 섞인다. 에이전트는 승인 없이 고위험 동작을 실행하려 할 수 있다. 이런 사고는 ‘해킹’보다 ‘위임’ 과정에서 시작할 수 있다.

세 줄 요약

• 무슨 변화/핵심이슈인가? 생성형 AI가 “대화”에서 “자율 실행(도구 호출·결제·시스템 변경·에이전트 생성)”으로 넘어가면서, 전통적 내부자 위협 모델이 흔들린다.
• 왜 중요한가? OWASP가 “Excessive Agency”로 지적하듯, 과도한 자율성이 결제·시스템 변경 같은 고위험 액션과 연결되면 프롬프트 인젝션·툴 오용이 금전·데이터·운영 피해로 이어질 수 있다.
• 독자는 뭘 하면 되나? 에이전트 운영을 “거버넌스(정책·역할·문서화) + 생애주기 인벤토리 + 모니터링/리뷰 + 이의제기·오버라이드”로 묶고(NIST AI RMF/Playbook), 고위험 액션에는 승인·중지·한도 같은 안전장치를 업무 흐름에 포함하라.

현황

기업이 에이전트를 붙이는 이유는 단순하다. 사람 대신 “실행”까지 맡기고 싶어서다. 문제는 실행 권한이 붙는 순간 보안 모델이 달라진다는 점이다. ZDNET 발췌에 따르면, 에이전트가 다른 에이전트를 띄울 수 있고 돈을 쓰고 시스템을 수정할 수 있으면 생산성 도구와 내부자 위협의 경계가 사라진다.

기존 내부자 위협은 보통 “사람”을 중심에 둔다. 누가 접근했고, 누가 승인했고, 누가 실행했는지를 계정·권한·감사로그로 추적한다. 에이전트는 이 구조를 흔든다. 사람이 직접 실행하지 않아도, 사람이 위임한 권한을 에이전트가 연쇄적으로 사용할 수 있다. “에이전트가 에이전트를 생성”하는 구조까지 들어오면, 권한이 어디까지 퍼졌는지 파악이 어려워진다.

그래서 운영 거버넌스가 기술보다 앞선다. NIST AI RMF는 투명한 정책·절차 기반의 통제를 강조한다. AIRC에 실린 NIST AI RMF 1.0(2023) 핵심 섹션은 Govern 1.4에서, 조직의 위험 우선순위에 기반한 투명한 정책·절차·통제 아래에서 위험관리 프로세스와 결과를 수립하라고 말한다. NIST AI RMF Playbook의 Govern 항목도 역할과 책임을 문서화하고, 표준화된 문서로 투명성을 높이라고 권한다.

분석

핵심은 “의도”가 아니라 “결과”다. 에이전트가 선의로 설계돼도 실행 루프가 연결되면 위험이 커질 수 있다. 특히 결제·시스템 변경 같은 고위험 액션은 한 번의 도구 호출로 현실 세계에 영향을 남긴다. 내부자 위협의 위험은 접근 권한이 이미 내부에 있다는 점에서 나온다. 에이전트는 그 권한을 빠르게, 반복적으로, 연쇄적으로 사용할 수 있다.

여기서 오해가 생긴다. “에이전트가 문제니 자율성을 없애면 된다”는 접근이다. 하지만 OWASP가 경고하는 “Excessive Agency(과도한 자율성)”는 자율성 자체의 유무라기보다 자율성이 작동하는 경계를 설계하지 못한 문제에 가깝다. 또 다른 오해는 “감사로그만 남기면 책임이 정리된다”는 믿음이다. 이번 조사 결과 스니펫은 정책·절차·문서화·인벤토리·지속 모니터링·정기 리뷰·이의제기/오버라이드가 함께 가야 한다고 적는다. 즉, 로그는 필요하지만 운영 체계를 대신하지는 못한다. (감사 이벤트 스키마, 불변성, 체인-오브-커스터디 같은 구체 설계는 이번 조사 결과에 직접 정리돼 있지 않아 추가 확인이 필요하다.)

실전 적용

기업이 당장 할 수 있는 최소 안전장치는 “권한·가시성·중단 가능성”을 한 묶음으로 보는 것이다. NIST AI RMF/Playbook이 말하는 방향은 단순한 보안 기능 추가에 그치지 않는다. **역할/책임을 문서화하고(누가 무엇을 승인·운영·감사하는지), AI 시스템과 아티팩트 인벤토리를 만들고(배포·변경·폐기까지), 지속 모니터링·정기 리뷰와 인시던트 대응, 그리고 appeal and override(이의제기/사람 개입·재결정)**를 운영 프로세스에 포함시키는 쪽이다. 에이전트가 결제나 시스템 변경 같은 고위험 액션을 수행할 수 있다면, 승인 워크플로·긴급 중지·예산/권한 경계를 결합하는 설계가 이번 조사 결과의 결론에 가깝다.

오늘 바로 할 일 체크리스트 3개

• 에이전트가 호출할 수 있는 도구 목록을 뽑고, “결제·시스템 변경·데이터 반출”처럼 고위험 동작을 분류해 사람 승인 단계를 붙여라.
• 운영 중인 에이전트와 관련 아티팩트(프롬프트, 정책, 도구 연결)를 인벤토리로 묶고, 변경·폐기까지의 생애주기 통제를 문서로 고정해라.
• 인시던트 대응 절차에 “즉시 중지”와 “appeal and override(사람이 개입해 취소·재결정)”를 명시하고 정기 리뷰 루프에 넣어라.

FAQ

Q1. ‘에이전트 내부자 위협’은 그냥 계정 탈취랑 뭐가 다른가요?
A1. 계정 탈취는 보통 외부자가 계정을 훔쳐 “사람처럼” 행동하는 형태다. 에이전트 내부자 위협은 사람이 위임한 합법적 권한이 자동 실행 루프를 타면서, 의도치 않은 액션이 빠르게 연쇄 실행될 수 있다는 점이 다르다. 에이전트가 다른 에이전트를 만들거나 결제·시스템 변경을 수행할 수 있으면 피해가 커질 수 있다.

Q2. 감사로그만 잘 남기면 책임 문제를 해결할 수 있나요?
A2. 충분하지 않습니다. NIST AI RMF/Playbook 관점에서는 투명한 정책·절차, 역할과 책임의 명확화, 표준화된 문서화, 인벤토리 기반 생애주기 통제, 지속 모니터링·정기 리뷰, 그리고 이의제기/오버라이드 같은 운영 안전장치가 함께 가야 합니다. 로그의 구체 요건(불변성, 증적성 등)은 조직의 규제 환경에 따라 추가 확인이 필요합니다.

Q3. 고위험 액션을 다 막으면 에이전트 도입 의미가 줄지 않나요?
A3. 일부는 맞습니다. 그래서 핵심은 “전면 금지”가 아니라 “경계 설계”입니다. OWASP가 말하는 과도한 자율성은 자율성 자체보다 통제 없는 자율성이 문제입니다. 결제·시스템 변경처럼 되돌리기 어려운 액션에는 승인 워크플로, 긴급 중지, 권한·예산 경계를 결합해 생산성과 리스크를 함께 관리하는 방식이 필요합니다.

결론

에이전트는 내부자 위협을 “악의적 직원” 중심의 이야기에서 “위임된 실행 권한의 확산” 문제로 옮겨 놓는다. 지금 필요한 건 더 똑똑한 모델이 아니라 NIST AI RMF/Playbook이 강조하는 거버넌스와 운영 통제, 그리고 고위험 액션에 대한 승인·중지·경계 설계다. 다음 단계는 단순하다. 에이전트가 실제로 무엇을 실행할 수 있는지부터, 조직이 설명 가능한 수준으로 다시 그려야 한다.

다음으로 읽기

• AI 자료 모음 (24h) - 2026-03-03
• 생성형 AI 추천 흔들림 통제법
• 브라우징 끔 문제풀이 검증법
• AI 자료 모음 (24h) - 2026-03-01
• 재난 위성판독, 속도는 파이프라인이 좌우

참고 자료

• 5 AI RMF Core - AIRC (Excerpt from the NIST AI Risk Management Framework 1.0 (2023)) - airc.nist.gov
• Govern - AIRC (NIST AI RMF Playbook) - airc.nist.gov
• zdnet.com - zdnet.com